23 ตุลาคม 2011
มีการรายงานถึงเวิร์มอินเทอร์เน็ตแบบใหม่ที่แพร่กระจายผ่านเซิร์ฟเวอร์แอปพลิเคชัน JBoss ที่ไม่ได้แก้ไขแพทช์หรือไม่ปลอดภัย รวมถึงผลิตภัณฑ์ตัวแปรต่างๆ โฮสต์ที่ติดเวิร์มจะสแกนหาและเชื่อมต่อ Console ของ JMX ที่ไม่มีการป้องกัน จากนั้นจะดำเนินการโค้ดในระบบเป้าหมาย ข้อมูลจาก Red Hat ระบุว่าเวิร์มนี้จะส่งผลกระทบต่อผู้ใช้เซิร์ฟเวอร์แอปพลิเคชัน JBoss ที่ไม่ได้รักษาความปลอดภัยให้ Console ของ JMX อย่างถูกต้อง รวมถึงผู้ใช้ผลิตภัณฑ์สำหรับองค์กรของ JBoss เวอร์ชันเก่าๆ ที่ไม่ได้แก้ไขแพทช์
ข้อมูลละเอียดเกี่ยวกับเวิร์ม รวมถึงคำแนะนำชุมชน JBoss สำหรับการตรวจหาและการกำจัดเวิร์มนั้นมีอยู่ที่นี่: http://community.jboss.org/blogs/mjc/2011/10/20/statement-regarding-security-threat-to-jboss-application-server
ภัยคุกคามนี้จะลดลงได้เมื่อทำตามแนวทางการปฏิบัติที่ดีที่สุดด้านความปลอดภัยเบื้องต้นบางอย่าง ขั้นแรก คุณต้องใช้ผลิตภัณฑ์สำหรับองค์กรของ JBoss เวอร์ชันล่าสุดโดยติดตั้งเวอร์ชันล่าสุดตั้งแต่ต้นหรืออัปเดตเวอร์ชันที่มีอยู่ให้เป็นเวอร์ชันล่าสุด ตามที่จำเป็น Red Hat ได้จัดทำการอัปเดตให้ผลิตภัณฑ์สำหรับองค์กรของ JBoss ในเดือนเมษายน 2010 เพื่อจัดการปัญหานี้ (CVE-2010-0738) โปรดดู:https://access.redhat.com/kb/docs/DOC-30741
ขั้นที่สอง ให้รักษาความปลอดภัย Console ของ JMX ในผลิตภัณฑ์สำหรับองค์กรของ JBoss ด้วยการยืนยันตัวตนโดยใช้ไฟล์ชื่อผู้ใช้/รหัสผ่าน หรือโดเมน Java Authentication and Authorization Service (JAAS) Red Hat ได้จัดทำบทความที่มีคำแนะนำโดยละเอียดเกี่ยวกับวิธีรักษาความปลอดภัยให้ Console ของ JMX โปรดดู: https://developer.jboss.org/docs/DOC-12190
Console ของ JMX ในผลิตภัณฑ์สำหรับองค์กรของ JBoss อาจทำงานบน TCP port 8080 หรือ TCP port 8443 (หากคุณทำตามคำแนะนำข้างต้นและรักษาความปลอดภัยให้ Console ของ JMX ผ่าน SSL แล้ว)
AWS ขอแนะนำให้คุณจำกัด TCP port 8080 และ/หรือ 8443 ขาเข้า (หรือพอร์ตใดก็ตามที่คุณเลือกไว้สำหรับ Console ของ JMX) ให้ใช้เฉพาะที่อยู่ IP ต้นทางที่สร้างจากเซสชัน Console ของ JMX ที่ถูกต้อง การจำกัดการเข้าถึงเหล่านี้สามารถนำไปใช้ได้โดยการกำหนดค่า EC2 Security Group ให้สอดคล้องกัน สำหรับข้อมูลและตัวอย่างเกี่ยวกับวิธีกำหนดค่าอย่างถูกต้องและนำ Security Groups ไปใช้ โปรดดูเอกสารต่อไปนี้: http://docs.amazonwebservices.com/AWSEC2/latest/UserGuide/index.html?adding-security-group-rules.html